giovedì 6 maggio 2021

WeSteal, il primo malware as a service made in Italy venduto nel World Wide Web

Gli esperti di sicurezza della unit24 di Palo Alto Network hanno lanciato, qualche giorno fa, un alert riguardante un nuovo malware chiamato WeSteal. Da quella che doveva essere una comune analisi di un malware nuovo, come succede tutti i giorni, sono però emersi particolari molto interessanti che puntano i riflettori sull'Italia

Infatti WeSteal, del quale rendiamo sotto un riassunto dell'analisi tecnica, è prodotto e distribuito secondo la forma organizzativa del malware as a service (MaaS) da ComplexCodes, una programmatore che vende questi prodotti nel World Wide Web ed ha sede in Italia (il sito wesupply.to è attualmente irraggiungibile). 


WeSteal è stato inizialmente pubblicizzato, con strutturate campagne di marketing, nei forum  dell'underground web da Febbraio 2021: ComplexCodes non è nuova a queste operazioni, dato che già nel Maggio 2020 aveva messo in vendita un altro malware, chiamato "WeSupply Crypto Stealer". Anzi, le analisi hanno mostrato come WeSteal sia una semplice evoluzione dello stesso progetto: il cambio nome può dipendere dalle (aggressive e articolate) campagne marketing di cui WeSupply si rende protagonista (qualche esempio sotto)

Ma non è, questo, il primo progetto del produttore di malware italiano: ComplexCodes, infatti, è già noto per aver prodotto malware come Zodiac Crypto Stealer e Spartan Crypter, sempre specializzati nel furto di criptovalute e caratterizzati da un alto livello di offuscamento del codice per evadere le individuazioni da parte delle soluzioni di sicurezza. 

Non solo: ComplexCodes non si occupa soltanto di fornire servizi per il furto di criptovaluta, ma ha anche messo a disposizione WeControl, un remote access tool (RAT) per accedere da remoto ai sistemi violati. Inoltre risulta affiliata ad un sito web che rivende account rubati per servizi di streaming come Netflix o Disney+, ma anche a servizi VPN come NordVpn. Non poteva mancare, ovviamente, un servizio per attacchi DDoS, chiamato Site Killah: sotto è possibile vedere l'annuncio pubblicitario del servizio, estratto dal sito wesupply.to

Banner pubblicitario di Site Killah

WeSteal: che cosa fa
WeSteal è pensato per il furto di criptovalute dalla vittima, puntando ai wallet Bitcoin, Ethereum, Litecoin, Bitcoin Cash e Monero. Il suo funzionamento è piuttosto banale: semplicemente, quando il proprietario di un computer infetto esegue la copia, negli appunti di sistema, di un link con una sintassi che richiama o è simile a quella di un indirizzo di un wallet di criptovaluta, il malware modifica tale contenuto modificando l'ID del wallet. La vittima quindi non si renderà neppure conto di stare dirottando il trasferimento richiesto su un conto diverso, ovvero di colui che ha affittato il malware da Wesupply. 

Inoltre il malware viene fornito ai "clienti" con un sistema di offuscamento per eludere l'individuazione da parte delle soluzioni antivirus e con una dashboard dalla quale verificare e tracciare l'attività sui dispositivi compromessi. 

La pagina di pubblicizzazione del RAT We Control sul sito del "produttore"

Quanto costa WeSteal?
Il malware è offerto come MaaS (malware as a service) tramite abbonamenti, tra l'altro a prezzi stracciati: 20 euro per un mese, 50 euro per 3 mesi e 125 euro per un anno.

Nessun commento:

Posta un commento